- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Подмена системных утилит
Наборы для подмены утилит (rootkit) очень распространены под UNIX, однако такие наборы находятся в стадии разработки и для NT. Эти наборы не предназначены для получения администраторского доступа, а используются после получения полного доступа и позволяют взломщику вернуться в систему когда угодно. Rootkit содержит в себе троянские версии стандартных системных файлов. Например, программа login используется для подключения и аутентификации пользователей в системе. Если взломщик получил полный доступ к системе, он может просто заменить эту программу троянской версией. Если он просто заменит ее своей, все будут считать, что перепутали адрес, поскольку никто не сможет подключиться к системе. А что если взломщик использует первоначальную версию программы, однако добавит в нее скрытые возможности? Скрытая часть будет автоматически позволять подключаться пользователю с определенным именем без ввода пароля и получать полномочия суперпользователя.
Существует два основных способа подмены системных утилит: файлового уровня и уровня ядра. Далее будут описаны оба типы с указанием их недостатков и преимуществ.
Подмена на уровне файлов
Наборы для подмены системных утилит являются очень мощным и простым средством для создания люков в системе. Обычно такие наборы изменяют ключевые системные файлы. Первоначальные версии программ заменяются троянскими. Как правило, первоначальная программа становится явной частью, а люк — скрытой. В наборах утилит часто содержатся троянские версии таких программ:
-
login;
-
Is;
-
ps:
-
find;
-
who;
-
netstat.
В действительности список, как правило, гораздо длиннее, однако этот пример позволяет понять, какие программы интересуют взломщика. Обычно заменяются те программы, которые используются администратором для слежения за системой. Поэтому если соответствующим образом изменить эти программы, администратор будет получать ложную информацию и не сможет обнаружить взлом. Однако, поскольку большинство наборов заменяют Is, но не заменяют echo, легко узнать, была ли система взломана. Для этого достаточно запустить Is и echo, и если результаты будут разными, следовательно, у вас возникли проблемы. Как вы понимаете, взломщики тоже знают об этом, а значит, новые версии наборов утилит будут включать в себя и echo.
Как видите, взломщик может сделать троянской любую команду, которая часто используется, и в результате не только создать люк, но и замести следы. Таким образом с помощью одного набора взломщик убивает двух зайцев. Он не только получает возможность вернуться в систему в любой момент, но и значительно усложняет, обнаружение взлома. Давайте разберем пример, когда взломщик не только обеспечивает себе доступ в систему но скрывает следы своего присутствия. Во-первых, он должен установить свою версию программы login, которая работает как обычно, но если при подключении используе имя evileric, эта программа автоматически предоставляет такому пользователю полномочия суперпользователя. Однако если суперпользователь выполнит команду who в тот момент, когда взломщик подключен, он увидит пользователя evileric и заподозрит неладное. Таким образом нужно также установить троянскую версию программы who, которая не позволит администратору увидеть пользователя evileric. Теперь вы начинаете понимать, в чем сила наборов утилит взлома. Даже когда взломщик находится в системе, администратор не может засечь его, поскольку программы слежения выдают ложную информацию. Основная задача наборов для подмены системных утилит— обманывать администратора и скрывать действия взломщика.